Как мы внедряем NGFW
В этой статье мы поделимся с вами опытом, как не допустить оплошностей при подборе, установке и настройке NGFW, ведь учиться на чужих ошибках гораздо дешевле, быстрее и эффективнее, чем на своих.
Однако, прежде чем погрузиться в нюансы внедрения, хотелось бы затронуть вопрос, который особенно волнует наших заказчиков, а именно – как выбрать межсетевой экран.
В нашей практике мы видели разные подходы заказчиков к подбору устройств:
«Опытный» — основывается на проведении обследования ИТ-инфраструктуры, в ходе которой профильные специалисты собирают необходимую для проведения анализа информацию, и на основе этих данных, полагаясь на знания продукта и опыт внедрения, могут дать рекомендацию по выбору устройства.
«Выверенный» — заключается в проведении пилотного проекта в продуктивной среде заказчика. При такой реализации можно увидеть реальную производительность, специфичную для заказчика, под нагрузкой тех функций, которые нужны именно этой организации. Специалисты нашей компании приезжают, устанавливают, настраивают и проверяют все необходимые для заказчика функции устройства, а заказчику останется только наслаждаться процессом администрирования.
«Рискованный» — когда выбор устройства происходит по рекламным буклетам производителя (но кто знает, как производитель трактовал ту или иную особенность работы). Это как выбирать по фотографии: реальность может не совпасть с вашими ожиданиями.
«Ошибочный» — когда организация спрашивает у соседней (партнерской, дружественной, знакомой и т.д.) компании, что они устанавливали у себя и заказывает себе то же самое. В этом случае упускается, что выбор устройства абсолютно уникален, и подбирать устройство надо индивидуально по многим параметрам, таким как производительность, количество и состав интерфейсов, пропускная способность в разных режимах функционирования и др.
Очевидно, что наилучший результат обеспечивают «опытный» и «выверенный» варианты, т.к. подбор устройств осуществляется на основании данных, полученных из ИТ-инфраструктуры заказчика. Кроме того, здесь учитывается необходимость реализации кластерного решения, если для заказчика критически важна непрерывная работа при выходе из строя одного из устройств.
Для установки в кластер необходимо предусмотреть сетевую доступность между нодами, чтобы платформы и версии программного обеспечения (Далее – ПО) межсетевых экранов были одинаковые. Ну и не забыть, чтобы лицензия поддерживала возможность работы в кластере. Для управления кластером может потребоваться еще одно устройство, в программном или аппаратном исполнении, поэтому сразу необходимо предусмотреть место для установки либо заложить вычислительные мощности для развертывания дополнительной виртуальной машины. Кластер межсетевых экранов — это не просто техническое решение, а необходимая инвестиция в непрерывность защищенности при возникновении сбоев и, тем самым, в обеспечение защиты от финансовых, а также репутационных потерь.
Подход нашей компании к внедрению любого средства защиты, и NGFW не исключение, включает такие этапы, как разработка проектной (включая программу и методику испытаний) и эксплуатационной документации, приемо-сдаточные испытания, опытная эксплуатация.
Еще на этапе поставки оборудования мы совместно со специалистами заказчика разрабатываем схему установки. Схема установки включает в себя сетевое оборудование, порядок его коммутации, обозначения портов, типы и IP-адреса интерфейсов, диапазоны используемых адресов, статические маршруты сетевого оборудования, адресация NTP-, DNS-, DHCP-серверов.
Первая задача, которая ставится перед заказчиком на старте внедрения, – это подготовка места для установки NGWF. На этом этапе необходимо ответить на следующие вопросы: будет установка в стойку на «уши», «рельсы» или на полку в телекоммуникационном шкафу; где взять электропитание; хватит ли мощности кондиционирования для охлаждения; как обеспечить заземление в шкафу; куда прикручивать направляющие и хватит ли глубины шкафа для размещения оборудования. Наш опыт показывает, что эти вопросы, кажущиеся, на первый взгляд, простыми, требуют тщательной проработки.
Первичную настройку NGFW мы осуществляем еще до момента подключения его в ИТ-инфраструктуру. В первичную настройку, как правило, входит обновление до последней версии ПО, загрузка сигнатур и баз данных компонентов, установка (активация) лицензии.
Перед включением NGFW в ИТ-инфраструктуру мы уточняем схему его установки, а также прорабатываем варианты незаметного для пользователей перехода, в том числе, возможно, поэтапного.
Монтируем устройство, включаем, подключаем, получаем доступ и делаем первичную настройку. Далее производится настройка политик (правил) межсетевого экрана в соответствии со схемой внедрения. При пусконаладке политиками сетевого экранирования предоставляются права доступа, проверяются доступность устройств, сервисов, протоколов и портов, необходимых для функционирования инфраструктуры. Если на предшествующих этапах были продуманы все условия обеспечения работоспособности, то при запуске NGFW в опытную эксплуатацию проблем не должно быть.
В ходе пусконаладочных работ, как правило, выявляются и исправляются ошибки проектирования, связанные с недостоверной или неверной информацией о работе сервисов, внешних взаимодействий и других нюансов функционирования сетевой инфраструктуры.
Основные проблемы, с которыми мы часто сталкиваемся, это отсутствие задокументированных схем коммутации и маршрутизации, информационных потоков. Также проблемы возникают в следствие некорректных настроек DNS на контроллерах домена, недоступности серверов NTP, неправильных настроек шлюзов по умолчанию на пользовательских устройствах, неверных сетевых маршрутов в удаленные подсети.
В обязательном порядке мы настраиваем параметр «синхронизация времени». Синхронизация времени сетевого и серверного оборудования очень важна для корректной работы служб и сервисов. Мы рекомендуем настроить единый источник, от которого берут синхронизацию все устройства в сети.
Отдельно бы хотелось отметить процесс обновления баз (сигнатур), получение которых можно настроить в автоматическом режиме по расписанию. При этом мы не рекомендуем выставлять время обновления, выходящее за рамки рабочего времени, например вечером или ночью. Т.к. процесс обновления по расписанию является бесконтрольным процессом, и может получиться так, что некорректно установленные обновления могут не согласовываться с политиками безопасности, что, в свою очередь, может привести к негативным последствиям, вплоть до блокировки информационных потоков. Время простоя в этом случае составит с вечера или ночи и до начала рабочего дня. Для обеспечения контроля за процессом обновления мы рекомендуем найти компромисс: обновления проводить в рабочее время либо же в выделенное технологическое окно.
Важной составляющей внедрения, о которой нельзя забывать, является резервное копирование файлов конфигураций. Наличие резервных копий позволит сократить время восстановления. Но и тут не стоить забывать про проверку возможности восстановления из бэкапов: так на реальном опыте можно увидеть процесс восстановления, на практике определить потребность в ресурсах ( в том числе и временных).
При составлении политик межсетевого экранирования можно опираться на две ключевые стратегии по их настройке:
- разрешить все, что явно не запрещено;
- запретить все, что явно не разрешено.
Несмотря на то, что второй вариант требует больше времени на настройку, для большей безопасности мы рекомендуем применять его.
В зависимости от имеющихся в организации других средств защиты информации, в своих проектных документах и, соответственно, в работах по внедрению, мы предусматриваем следующие интеграции:
- отправка логов в SIEM-систему;
- отправка объектов на динамическую проверку в песочницу;
- отправка параметров состояния в систему мониторинга и т.д.
Работы по внедрению NGFW завершаются проведением приемо-сдаточных испытаний, после успешного прохождения которых заказчику остается только поддерживать техническую документацию в актуальном состоянии. Испытания проводятся по разработанному и согласованному с заказчиком документу «Программа и методика испытаний», который позволяет осуществить проверку функциональных возможностей и провести испытания внедряемого NGFW на соответствие требованиям проектной документации.
В завершение хотелось бы осветить вопрос по выбору исполнения NGFW. На наш взгляд, аппаратное исполнение предпочтительнее, ведь в этом случае ПО работает на «железе», а при виртуализации на «железе» работает гипервизор, а уже на нём работает виртуальная машина с ПО. Получается дополнительное звено, влияющее на отказоустойчивость.
По всем предлагаемым продуктам для наших заказчиков, мы оказываем первую линию технической поддержки. Техническая поддержка направлена на решение возникающих вопросов, связанных с настройкой и функционированием NGFW. При этом заказчик информируется обо всех этапах решения его задачи.